Apache ActiveMQ の脆弱性 CVE-2023-46604:Mauri ランサムウェアが悪用

Mauri Ransomware Exploits Apache ActiveMQ Flaw (CVE-2023-46604)

2024/12/08 SecurityOnline — AhnLab Security Intelligence Response Center (ASEC) が明らかにしたのは、Apache ActiveMQ の深刻な脆弱性 CVE-2023-46604 を悪用する脅威アクターが、攻撃において Mauri ランサムウェアを展開し始めたことである。この脆弱性の悪用に成功した攻撃者は、パッチ未適用のサーバ上で、悪意のリモート・コマンドの実行を達成し、データ漏洩/システム侵害/ランサムウェア展開などを引き起こす可能性を手にする。

Apache ActiveMQ は、人気の OSS メッセージング・サーバである。攻撃者が OpenWire プロトコルのシリアライズされたクラス型を操作し、悪意の XML 構成ファイルをロードすることでに発生するのが、リモート・コード実行の脆弱性 CVE-2023-46604 である。ASEC の指摘は、「パッチ未適用の Apache ActiveMQ サーバが、インターネットに露出している場合には、リモートで悪意のコマンドを実行する脅威アクターによる、標的システムの制御が可能になる」というものである。

Andariel/HelloKitty などのランサムウェア・グループや、今回の Mauri ランサムウェアを操るグループなどの、複数の脅威グループにより、この脆弱性は積極的に悪用されてきた。パッチが適用されていないシステムは、依然として極めて脆弱な状態にあり、攻撃者はランサムウェアの展開に加えて、CoinMiner/AnyDesk/z0Miner マルウェアなどのツールをインストールしている。

ファイル暗号化機能で知られる Mauri ランサムウェアが、侵害済の ActiveMQ サーバを介して配布されていると、ASEC が報告している。この感染の連鎖は、脆弱性 CVE-2023-46604 を悪用する標的型攻撃から始まり、それによりリモート・アクセスを獲得した攻撃者が、悪意のソフトウェアをインストールするという流れである。このランサムウェアは、AES-256 CTR 暗号化を使用してファイルを暗号化し、“.locked” 拡張子を追加する。そして、被害者には “READ_TO_DECRYPT.html” または “FILES_ENCRYPTED.html” という身代金要求のメモが表示される。

Mauri ランサムウェアのソースコードは、研究用に一般公開されているが、今回の脅威アクターはアクティブなキャンペーン用にカスタマイズしている。ASEC は、「ウォレットアドレス/Telegram アドレス/暗号化設定など、いくつかのコンフィグ・データが、すでに脅威アクターにより変更されている」と強調している。

この脆弱性を悪用する脅威アクターは、ランサムウェアだけに頼っているわけではない。ASEC が特定したのは、持続性を維持しアクセスするために追加された手法である。

  • バックドア・アカウント:攻撃者は “adminCaloX1” などの隠しアカウントを作成し、 Remote Desktop Protocol (RDP) へのアクセスを達成し、感染させたシステムを継続的に制御していた。
  • リモート・アクセス型トロイの木馬:.NET ベースの OSS マルウェアである Quasar RAT が展開され、認証情報の窃取/キーロギングの実行に加えて、感染させたシステム上でのコマンド実行に到達していた。
  • プロキシ・ツール:Fast Reverse Proxy (FRP) の使用により、NAT やファイアウォールの背後に隠された感染システムが露出することで、RDP サービスへのリモート接続が容易になった。

これらの攻撃から保護するために、ASEC は以下を推奨している。

  • 不審な行動の監視:不正アクセスや隠しアカウントの作成を検出するための、エンドポイント・セキュリティ対策を実施する。
  • 脆弱なシステムへのパッチ適用:すべての Apache ActiveMQ インスタンスが、安全なバージョンに更新されていることを確認する。脆弱なバージョンには、5.18.0~5.18.2/5.17.0~5.17.5/5.16.0~5.16.6 および、それ以前のバージョンとなる。
  • 外部からのアクセスを制限する:ファイアウォールを使用して、外部からの脅威に対して、サーバの露出を制限する。

Apache ActiveMQ の脆弱性 CVE-2023-46604 ですが、すでに Mauri ランサムウェアによる悪用が確認されています。ただし、パッチの置き場所が、さっと探した範囲では、よく分かりませんでした。ご利用のチームは、ご注意ください。よろしければ、ActiveMQ で検索も、ご参照ください。